案例名称 典型中小企业组网实例 技术范围 交换 技术关键词 VLAN，NAT，ACL ，OSPF 案例描述 典型中小企业组网实例，申请一个公网 IP 和 10M 带宽，一台 CISCO 路由器，WEB 服务器，文件服务器，FTP 服务器等，客户端办公电脑，300 台左右，多部门划 分 VLAN，用 ACL 控制各部门访问权限，配置网络打印机。 设备型号 核心交换机 CISCO 4503 , 接入交换机 CISCO 2950 ,路由器 CISCO 2621 , 防 火墙 NOKIA IP350 网络拓扑 

解决方案 1,配置 Router a).配置接口 Interface fastethernet0/1 Ip address 172.27.0.1 255.255.255.252 Duplex auto Speed auto Ip nat inside No shutdown Interface fastethernet0/2 Ip address 202.103.0.117 255.255.255.248 Duplex auto Speed auto Ip nat outside No shutdown b)配置路由 ip route 0.0.0.0 0.0.0.0 202.103.0.117 c).配置过载 ip nat inside source list 110 interface FastEthernet0/2 overload access-list 110 permit ip 172.27.0.0 0.0.255.255 any 2，配置 Core switch a)配置 VTP VTP Version : 2 Configuration Revision : 7 Maximum VLANs supported locally : 1005 Number of existing VLANs : 9 VTP Operating Mode : Server VTP Domain Name : OA 

VTP Pruning Mode : Disabled VTP V2 Mode : Enabled VTP Traps Generation : Enabled b) 配置 VLAN core-sw#vlan database 进入 vlan 配置模式 core-sw (vlan)#vtp domain OA 设置 vtp 管理域名称 OA core-sw (vlan)#vtp server 设置交换机为服务器模式 core-sw (vlan)#vlan 10 name shichang 创建 VLAN 10，命名为市场 core-sw (vlan)#vlan 11 name caiwu core-sw (vlan)#vlan 12 name sheji core-sw (vlan)#vlan 13 name netprinter core-sw (vlan)#vlan 20 name server core-sw(config)#interface vlan 10 core-sw(config-if)#ip address 172.27.47.254 255.255.255.0 core-sw(config)#interface vlan 11 core-sw(config-if)#ip address 172.27.45.254 255.255.255.0 core-sw(config)#interface vlan 12 core-sw(config-if)#ip address 172.27.46.254 255.255.255.0 core-sw(config)#interface vlan 13 core-sw(config-if)#ip address 172.27.31.254 255.255.255.0 core-sw(config)#interface vlan 20 core-sw(config-if)#ip address 172.27.2.254 255.255.255.0 将 CORE-SW 上的端口根据需要划分至各个 VLAN c) 配置 ACL 配置 ACL 应用在各个部门 VLAN 接口上，控制各部门互访 access-list 10 permit 172.27.2.0 0.0.0.255 access-list 10 permit 172.27.31.0 0.0.0.255 access-list 10 deny 172.27.0.0 0.0.255.255 access-list 10 permit any access-list 10 应用于 VLAN 10 OUT 方向上，市场部内部可以互访，可以访问 服务器网段和网络打印机网段，但不能访问财务部和设计部所在网段 access-list 11 permit 172.27.2.0 0.0.0.255 access-list 11 permit 172.27.31.0 0.0.0.255 

access-list 11 permit 172.27.47.0 0.0.0.255 access-list 11 deny 172.27.0.0 0.0.255.255 access-list 11 permit any access-list 11 应用在 VLAN 11 OUT 方向上，财务部内部可以互访问，可以访 问服务器网段和网络打印机网络，可以访问市场部网段，但不能访问设计部网段 设计部 VLAN 12 ，网络打印机 VLAN 13，服务器 VLAN 20 可以访问任意网段， 应用访问列表 access-list 101 在 in 的方向上，封掉常见病毒端口，（可以根 据实际需要 将此 ACL 应用于任一接口） access-list 101 deny tcp any any eq 1068 access-list 101 deny tcp any any eq 2046 access-list 101 deny udp any any eq 2046 access-list 101 deny tcp any any eq 4444 access-list 101 deny udp any any eq 4444 access-list 101 deny tcp any any eq 1434 access-list 101 deny udp any any eq 1434 access-list 101 deny tcp any any eq 5554 access-list 101 deny tcp any any eq 9996 access-list 101 deny tcp any any eq 6881 access-list 101 deny tcp any any eq 6882 

access-list 101 deny tcp any any eq 16881 access-list 101 deny udp any any eq 5554 access-list 101 deny udp any any eq 9996 access-list 101 deny udp any any eq 6881 access-list 101 deny udp any any eq 6882 access-list 101 deny udp any any eq 16881 access-list 101 permit ip any any